La Linee guida ACN per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio.
-
- 23 Gennaio 2025
La Linee guida ACN per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio.
Una serie di accadimenti assunti agli onori della cronaca ha indotto l’Agenzia per la Cybersicurezza Nazionale[1] a pubblicare, lo scoro mese di novembre, le Linee Guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio.
Prima di passare ad una breve descrizione delle stesse è opportuno fare riferimento all’alveo normativo che sottende alle stesse.
Contesto normativo
A tutela degli assetti digitali del Paese, ivi incluse le banche dati più sensibili e le infrastrutture che le ospitano, insiste un ampio corpus di misure di sicurezza discendenti dalla normativa vigente, oggetto di costante aggiornamento. Il livello più elevato di protezione per i dati più critici del Paese, connessi alla tutela della sicurezza nazionale, è assicurato dal Perimetro di sicurezza nazionale cibernetica, istituito con decreto-legge 21 settembre 2019, n. 105, convertito con modificazioni dalla legge 18 novembre 2019, n. 133.[2]
Inoltre, tutte le banche dati della pubblica amministrazione sono soggette alle previsioni del cd. Regolamento Cloud, adottato ai sensi dell’articolo 33-septies del decreto-legge 18 ottobre 2012, n. 179 e recentemente aggiornato da ACN con Decreto Direttoriale n. 21007 del 27 giugno 2024.[3]
Più recentemente la legge 28 giugno 2024, n. 90, ha introdotto obblighi tesi al rafforzamento della resilienza delle pubbliche amministrazioni centrali e di numerose amministrazioni locali, con l’individuazione di un referente e di una struttura responsabili per l’attuazione, ivi inclusa l’adozione delle linee guida per la cybersicurezza che saranno emanate da ACN.
In prospettiva, il decreto legislativo del 4 settembre 2024, n. 138[4], di recepimento della direttiva (UE) 2022/2555 (cd. direttiva NIS), prevede un ampio catalogo di obblighi, con punti specifici relativi alla sicurezza della catena di approvvigionamento, alla manutenzione dei sistemi informativi e di rete, nonché alla sicurezza e all’affidabilità del personale. Tali obblighi saranno declinati con riguardo ai principi di proporzionalità e gradualità con determinazioni dell’Agenzia ad aprile 2025, definendo una cornice di sicurezza generalizzata per rafforzare ulteriormente la protezione delle banche dati già tutelate dal Perimetro.
I fatti.
Negli ultimi mesi sono emersi diversi casi di utilizzo improprio di banche dati di rilevanza nazionale da parte di soggetti o organizzazioni che, con differenti tecniche e finalità, sono riusciti ad ottenere l’accesso alle informazioni in esse contenute senza averne titolo.
Secondo quanto riportato dai media, tali organizzazioni realizzavano, su mandato dei propri clienti o su richiesta di affiliati, report e dossier contenenti le informazioni abusivamente raccolte.
Le tecniche utilizzate per le attività illecite sarebbero sintetizzabili in 3 modalità principali:
• ottenimento di informazioni tramite presunte attività corruttive riferibili a pubblici ufficiali infedeli;
• installazione di software per il controllo remoto (RAT1) in particolare di server utilizzati per erogare i servizi verosimilmente in esito alla possibilità di operare sugli stessi, da parte di persone collegate alle aziende coinvolte, in forza di un contratto di manutenzione in essere o similari;
• installazione di software per il controllo remoto (RAT) su postazioni di lavoro aziendali e private con la complicità dei gestori dei sistemi informatici delle aziende clienti.
Criticità emerse
Dall’utilizzo improprio di banche dati di rilevanza nazionale si possono trarre una serie di insegnamenti che, inseriti in una ottica di miglioramento continuo (ciclo di Deming) possono avere come effetto quello di elevare la postura di cybersicurezza da parte dei soggetti che sono tenuti al rispetto delle norme sopra richiamate.
L’analisi di tali eventi, seppur in presenza di alcune differenze in termini di “intento”, “organizzazione” e “capacità” mostrate dai protagonisti delle singole vicende, consente di identificare alcuni punti di sovrapposizione tra le stesse.
Nello specifico:
• la gran parte delle azioni malevole è stata perpetrata, o quantomeno agevolata, dalla possibilità di accesso alle informazioni grazie a permessi assegnati ai protagonisti delle vicende in esito alle loro specifiche attività lavorative;
• limitato utilizzo delle classiche tecniche di compromissione di infrastrutture informatiche, ad esempio, attraverso lo sfruttamento di vulnerabilità software nei sistemi;
• movimento all’interno delle reti e dei sistemi mediante comportamenti ritenuti leciti dai comuni sistemi di protezione (es. AV, EDR, Firewall, ecc.) che pertanto risultano inefficaci nella fase di rilevamento;
• limitata efficacia dei sistemi di alerting predisposti per il rilevamento di comportamenti impropri nell’accesso alle informazioni in particolare in ottica preventiva.
Tali considerazioni consentono di identificare criticità non solo di carattere prettamente tecnico ma legate ad aspetti organizzativi e di governance delle informazioni e nello specifico:
• eccessiva “ampiezza” dei permessi consentiti agli utenti abilitati all’accesso alle informazioni;
• utilizzo di banche dati realizzate anteriormente alla diffusione dei principi di security-by-design, privacy-by-design, zero-trust;
• limitata governance del ciclo di vita dei sistemi e delle applicazioni utilizzate in particolare per la gestione di informazioni sensibili;
• limitata gestione dei processi di sicurezza nella gestione della supply chain;
• ridotta capacità di monitoraggio e auditing di comportamenti impropri da parte di dipendenti infedeli in chiave preventiva;
• limitata disponibilità di personale adeguatamente formato nelle attività di verifica e identificazione di azioni improprie di questa tipologia.
Cosa si intende per “utilizzo improprio” delle banche dati.
Tale fattispecie si verifica allorché:
a) l’utilizzo delle credenziali di accesso legittimamente detenute dall’operatore risulti strumentale al perseguimento di scopi estranei alle necessità funzionali di accesso, quale che sia l’intenzionalità dell’operatore, ivi incluso l’accesso a informazioni che esulano dalla necessità di conoscere ai fini dello svolgimento delle mansioni per le quali tali credenziali sono state assegnate;
b) l’utilizzo delle credenziali di accesso legittimamente detenute è in violazione delle politiche sul loro utilizzo definite dal fornitore del servizio;
c) in tutti i casi di utilizzo illegittimo delle credenziali di accesso da parte di altro operatore (o altri operatori) diverso da quello legittimato, in qualsivoglia modo ne abbia ottenuto la disponibilità e per qualsivoglia scopo (che sia estraneo alle necessità funzionali di accesso).
I casi di utilizzo improprio dipendenti da accesso abusivo da parte di operatori interni sono presidiati dall’articolo 4 del decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81 relativo alle notifiche volontarie degli incidenti.[5] Ciò nelle more di un prossimo aggiornamento che ne stabilirà l’obbligo in caso di superamento delle soglie critiche.
Azioni di contrasto
Di seguito si riportano, in estrema sintesi, le azioni di contrasto indicate da ACN nelle Linee guida di che trattasi.
Controllo degli accessi.
Strutturare un controllo degli accessi coerente e robusto rappresenta la base per garantire che l’accesso a sistemi e banche dati sia ristretto al personale e alle utenze autorizzati e che ne hanno la necessità in virtù del loro ruolo. A tale scopo le identità digitali del personale e le relative credenziali di accesso a sistemi e banche dati devono essere amministrate. Le identità digitali devono essere nominative e individuali, non devono essere, cioè, condivise tra più persone, anche al fine di poter tracciare gli accessi e poter risalire in modo inequivocabile al personale interno ed esterno che effettua gli accessi. Nel caso delle “identità di sistema”, per loro natura impersonali in quanto utilizzate da applicativi software, è necessario garantirne una gestione sicura, volta a mitigare sia il rischio di utilizzo diretto da parte del personale dell’Amministrazione, sia quello di impossessamento in generale. A ciascuna identità digitale devono essere assegnati privilegi e autorizzazioni di accesso minimi, strettamente necessari a svolgere i compiti assegnati al relativo ruolo e che rispettano il principio di segregazione delle funzioni.
Applicazione di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni.
La sicurezza dei sistemi e delle applicazioni deve essere garantita sin dalla progettazione (security by design) e per impostazione predefinita (security by default) adottando le buone pratiche di sviluppo sicuro e assumendo che nessuna connessione, utente o sistema/applicazione possa essere considerata attendibile sino a quando non viene verificata (zero-trust security).
Gestione del ciclo di vita dei sistemi e delle applicazioni.
La sicurezza dei sistemi e delle applicazioni deve comprendere tutte le fasi del ciclo di vita dei sistemi e delle applicazioni. A tale scopo, deve essere implementato un processo per la gestione del ciclo di vita dei sistemi (System Development Life Cycle), che contempli altresì una formale gestione delle vulnerabilità, coerente con ciascuna fase del ciclo. In aggiunta, la manutenzione e la riparazione dei sistemi e delle applicazioni deve essere eseguita e registrata con strumenti controllati ed autorizzati indicando le politiche di sicurezza adottate per la registrazione della manutenzione e riparazione dei sistemi e delle applicazioni e i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza e predisponendo un registro aggiornato delle manutenzioni e riparazioni eseguite. In base all’analisi del rischio, ogni aggiornamento dei sistemi e delle applicazioni ritenuti critici, fatte salve motivate esigenze di tempestività relative alla sicurezza, dovrà essere verificato in ambiente di test prima dell’effettivo impiego in ambiente operativo e il relativo codice oggetto dovrà essere custodito per almeno 24 mesi. Inoltre, la manutenzione remota dei sistemi e delle applicazioni deve essere approvata, documentata e svolta in modo da evitare accessi non autorizzati in accordo alle politiche definite per l’accesso remoto ai sistemi e alle applicazioni procedendo, ove applicabile, alla conservazione dei log delle attività svolte.
Gestione dei rischi e sicurezza della catena di approvvigionamento.
I fornitori e le terze parti, specie se poco maturi dal punto di vista della cybersicurezza, possono rappresentare un punto di vulnerabilità ed esporre i sistemi e le banche dati della propria organizzazione a rischi di attacco ed esfiltrazione di dati. I fornitori e le terze parti stessi possono rappresentare un vettore di attacco qualora compromessi da soggetti malintenzionati. Per tale motivo è fondamentale integrare nel proprio processo di gestione del rischio cyber la gestione dei rischi connessi alla catena di approvvigionamento, valutando a tal scopo per ogni fornitore e per ogni fornitura i connessi rischi. Con riferimento alle forniture di beni, sistemi e servizi ICT devono essere adottate misure di sicurezza specifiche per garantire la diversificazione dei fornitori e la possibilità di ricorrere ad altro fornitore, prevedendo a tal fine una seconda linea in caso di caduta della fornitura primaria.
Monitoraggio e auditing.
L’adozione di processi e strumenti per monitoraggio e l’auditing è un elemento imprescindibile per la difesa e il contrasto delle minacce alla sicurezza dei sistemi e delle applicazioni. Deve essere conservato e mantenuto aggiornato un inventario relativo ai flussi informativi approvati. Un flusso informativo è un insieme di dati scambiati in una rete tra una sorgente e un destinatario. Possono essere rappresentati tramite le connessioni, in ingresso o in uscita, e i protocolli tramite i quali avvengono le comunicazioni.
Formazione del personale.
La formazione del personale e in particolare degli utenti con privilegi (come, ad esempio, gli Amministratori di sistema) è una pre-condizione essenziale e necessaria per garantire resilienza, privacy, correttezza ed affidabilità dei sistemi e delle applicazioni. A tale scopo devono essere previsti corsi di formazione per tutti gli utenti – compresi gli utenti con privilegi – predisponendo un registro che indichi i contenuti della formazione ricevuta dagli utenti e definendo modalità per la verifica dell’acquisizione dei contenuti stessi. Tutto il personale deve essere sensibilizzato sul tema della cybersicurezza e sulla consapevolezza dei rischi informatici, nonché sull’adozione delle migliori pratiche di igiene informatica che devono sempre essere applicate sul posto di lavoro.
Adempimenti a carico dei titolari del trattamento.
Leggendo l’elenco delle misure di contrasto: Controllo degli accessi, Applicazione di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni, Gestione del ciclo di vita dei sistemi e delle applicazioni, Gestione dei rischi e sicurezza della catena di approvvigionamento, Monitoraggio e auditing, Formazione del personale, si rileva come gli adempimenti a carico dei titolari del trattamento siano di non facile realizzazione oltre che di grande impatto all’interno delle singole organizzazioni dei soggetti destinatari degli obblighi sopra richiamati.
Si suggerisce, al fine di ottenere il massimo degli effetti desiderati, di coinvolgere tutte le strutture aziendali (ed eventualmente soggetti esterni dotati di expertise non presenti all’interno) a partire da quelle tecniche (sistemi informativi in primis) quelle addette alla compliance, al risk management, gli affari legali, ecc.
Si ritiene opportuno istituire una cabina di regia in grado di svolgere un’attività di coordinamento, forte del committment della direzione strategica.
[1] L’Agenzia è stata istituita dal Decreto Legge n.82 del 14 giugno 2021 che ha ridefinito l’architettura nazionale di cybersicurezza, con l’obiettivo di razionalizzare e semplificare il sistema di competenze esistenti a livello nazionale, valorizzando ulteriormente gli aspetti di sicurezza e resilienza cibernetiche, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. L’Agenzia per la cybersicurezza nazionale (ACN) è l’Autorità nazionale per la cybersicurezza a tutela degli interessi nazionali nel campo della cybersicurezza. L’Agenzia ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico. Si occupa di prevenire e mitigare il maggior numero di attacchi cibernetici e di favorire il raggiungimento dell’autonomia tecnologica. Tra i principali compiti dell’Agenzia c’è l’attuazione della Strategia Nazionale di Cybersicurezza, adottata dal Presidente del Consiglio, che contiene gli obiettivi da perseguire entro il 2026.
[2] Questo prevede misure di sicurezza particolarmente stringenti, declinate nell’allegato B del decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, che si applicano alle reti, ai sistemi informativi e ai servizi informatici dei soggetti pubblici e privati da cui dipende l’esercizio di una funzione essenziale dello Stato o la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato dalla cui compromissione possa derivare un pregiudizio per la sicurezza nazionale.
[3] Ai sensi del citato Regolamento tutte le pubbliche amministrazioni sono chiamate a classificare i propri dati e servizi digitali quali ordinari, critici o strategici, secondo il modello predisposto da ACN. Tale attività è finalizzata ad assicurare che i dati e i servizi digitali della pubblica amministrazione siano trattati ed erogati attraverso infrastrutture digitali e servizi cloud che rispettano requisiti, ivi inclusi quelli di sicurezza, adeguati ai rischi connessi al relativo livello di classificazione, così come declinati dal Regolamento. L’esercizio di classificazione consente anche di individuare le banche dati considerate strategiche.
[4] Il presente decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.
[5] Art. 4 Notifica volontaria degli incidenti 1. Al di fuori dei casi di cui all’articolo 3, i soggetti inclusi nel perimetro possono notificare, su base volontaria, gli incidenti, relativi ai beni ICT, non indicati nelle tabelle di cui all’allegato A, ovvero gli incidenti, indicati nelle tabelle di cui all’allegato A, relativi a reti, sistemi informativi e servizi informatici di propria pertinenza diversi dai beni ICT. La notifica è effettuata tramite appositi canali di comunicazione del CSIRT italiano aventi i requisiti di cui al punto 1, lettera a), dell’allegato I, del decreto legislativo n. 65 del 2018, e secondo le modalità definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano. 2. Le notifiche volontarie sono trattate dal CSIRT italiano in subordine a quelle obbligatorie e qualora tale trattamento non costituisca un onere sproporzionato o eccessivo. 3. La notifica volontaria non può avere l’effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica. 4. I soggetti inclusi nel perimetro assicurano che dell’avvenuta notifica sia fornita notizia all’articolazione per l’implementazione del perimetro prevista nell’ambito delle misure di sicurezza di cui alla sottocategoria 2.1.4 (ID.AM-6) dell’allegato B, ed in particolare all’incaricato e al referente tecnico di cui alla medesima sottocategoria.
